Otvoreni port vatrozida Centos 7. Zadana pravila vatrozida

Instaliran u operacijski sustav Vatrozid se koristi za sprječavanje neovlaštenog prometa između računalne mreže. Posebna pravila za vatrozid kreiraju se ručno ili automatski, koja su odgovorna za kontrolu pristupa. OS razvijen na Linux jezgri, CentOS 7 ima ugrađen vatrozid, a njime se upravlja pomoću vatrozida. FirewallD je omogućen prema zadanim postavkama i željeli bismo razgovarati o njegovom postavljanju danas.

Kao što je gore spomenuto, standardni vatrozid u CentOS 7 je uslužni program FirewallD. Zato ćemo o postavljanju vatrozida raspravljati koristeći ovaj alat kao primjer. Možete postaviti pravila filtriranja koristeći iste iptables, ali to se radi na nešto drugačiji način. Preporučamo da se upoznate s konfiguracijom spomenutog uslužnog programa klikom na sljedeću poveznicu, a mi ćemo započeti s analizom FirewallD-a.

Osnove vatrozida

Postoji nekoliko zona - skupova pravila za upravljanje prometom na temelju povjerenja u mreže. Svi oni imaju vlastita pravila, čija ukupnost čini konfiguraciju vatrozida. Svakoj zoni dodijeljeno je jedno ili više mrežnih sučelja, što također omogućuje podešavanje filtriranja. Primijenjena pravila izravno ovise o korištenom sučelju. Na primjer, prilikom spajanja na javni Wi-Fi mreža zaslon će povećati razinu kontrole, a in kućna mreža otvorit će dodatni pristup za sudionike lanca. Dotični vatrozid sadrži sljedeće zone:

  • pouzdan - maksimalna razina povjerenje u sve mrežne uređaje;
  • dom - grupa lokalna mreža. Postoji povjerenje u okruženju, ali dolazne veze dostupne su samo određenim strojevima;
  • raditi - radna zona. Postoji povjerenje u većinu uređaja, a dodatne usluge su aktivirane;
  • dmz je zona za izolirana računala. Takvi uređaji su odspojeni od ostatka mreže i dopuštaju samo određeni dolazni promet;
  • interna — zona internih mreža. Povjerenje se primjenjuje na sve strojeve, otvaraju se dodatne usluge;
  • vanjska — zona okrenuta prethodnoj. U vanjskim mrežama aktivno je maskiranje NAT-a, koje zatvara internu mrežu, ali ne blokira mogućnost pristupa;
  • javno - zona javnih mreža s nepovjerenjem svih uređaja i pojedinačnim prijemom dolaznog prometa;
  • blokirati - svi dolazni zahtjevi se poništavaju s poslanom pogreškom icmp-host-prohibited ili icmp6-adm-zabranjeno;
  • pad - minimalna razina povjerenja. Dolazne veze prekidaju se bez ikakve obavijesti.

Same police mogu biti privremene ili trajne. Kada se parametri pojave ili uređuju, akcija vatrozida se odmah mijenja bez potrebe za ponovnim pokretanjem. Ako su primijenjena privremena pravila, bit će poništena nakon ponovnog pokretanja FirewallD-a. Trajno pravilo se tako zove - bit će trajno spremljeno kada se primijeni argument -permanent.

Omogućavanje FirewallD

Prvo morate pokrenuti FirewallD ili provjeriti je li u aktivnom stanju. Samo funkcionalni demon (program koji radi u pozadina) primijenit će pravila vatrozida. Aktivacija se vrši u samo nekoliko klikova:

  1. Pokreni klasiku "Terminal" bilo koji prikladan način, na primjer, putem izbornika "Prijave".

  2. Unesite naredbu sudo systemctl start firewalld.service i pritisnite tipku Unesi.

  3. Uslužnim programom upravlja u ime superkorisnika, tako da ćete morati potvrditi svoju autentičnost unosom lozinke.

  4. Kako biste bili sigurni da usluga radi, navedite firewall-cmd --state.

  5. U grafičkom prozoru koji se otvori ponovno potvrdite svoju autentičnost.

  6. Prikazat će se novi redak. Značenje "trčanje" označava da vatrozid radi.

Ako ikada trebate privremeno ili trajno onemogućiti vatrozid, preporučujemo korištenje uputa predstavljenih u našem drugom članku na sljedećoj poveznici.

Pogledajte zadana pravila i dostupne zone

Čak i vatrozid koji normalno radi ima svoja posebna pravila i dostupna područja. Prije nego počnete uređivati ​​pravila, preporučujemo da se upoznate s trenutnom konfiguracijom. To se radi pomoću jednostavnih naredbi:

  1. Naredba firewall-cmd --get-default-zone pomoći će vam da odredite zadanu zonu.

  2. Nakon što ga aktivirate, vidjet ćete novi redak u kojem će biti prikazan željeni parametar. Na primjer, na slici ispod zona se smatra aktivnom "javnost".

  3. Međutim, nekoliko zona može biti aktivno odjednom, a povezane su s posebnim sučeljem. Saznajte ove informacije putem firewall-cmd --get-active-zones.

  4. Naredba firewall-cmd --list-all prikazat će pravila konfigurirana za zadanu zonu. Pogledajte snimak zaslona u nastavku. Vidite da je aktivna zona "javnost" dodijeljeno pravilo "zadano"- zadani rad, sučelje "enp0s3" a dodane su dvije usluge.

  5. Ako želite saznati sve dostupne zone vatrozida, unesite firewall-cmd --get-zones .

  6. Parametri određene zone određuju se preko firewall-cmd --zone=name --list-all , gdje Ime— naziv zone.

Nakon definiranja traženi parametri možete nastaviti s njihovim mijenjanjem i dodavanjem. Pogledajmo pobliže nekoliko najpopularnijih konfiguracija.

Postavljanje zona sučelja

Kao što znate iz gore navedenih informacija, svako sučelje ima vlastitu zadanu zonu. Ostat će ondje dok korisnik ili programski ne promijeni postavke. Moguće je ručno prenijeti sučelje u zonu za jednu sesiju, a to se radi aktiviranjem naredbe sudo firewall-cmd --zone=home --change-interface=eth0 . Proizlaziti "uspjeh" označava da je prijenos bio uspješan. Podsjetimo da se takve postavke resetiraju odmah nakon ponovnog pokretanja vatrozida.

Prilikom ovakve promjene parametara, trebali biste uzeti u obzir da se usluge mogu resetirati. Neki od njih ne podržavaju rad u određenim zonama, na primjer, iako je SSH dostupan u "Dom", ali u prilagođenim ili posebnim servis će odbiti raditi. Možete provjeriti je li sučelje uspješno povezano s novom granom unosom firewall-cmd --get-active-zones.

Ako želite resetirati svoje prethodno postavljene postavke, jednostavno ponovno pokrenite vatrozid: sudo systemctl restart firewalld.service .

Ponekad nije uvijek zgodno promijeniti zonu sučelja za samo jednu sesiju. U tom slučaju morat ćete urediti konfiguracijsku datoteku tako da se sve postavke trajno unose. Da biste to učinili, preporučujemo korištenje uređivača teksta nano, koji se instalira iz službenog repozitorija pomoću sudo yum install nano . Zatim, sve što preostaje je učiniti sljedeće:

  1. Otvorite konfiguracijsku datoteku kroz editor upisivanjem sudo nano /etc/sysconfig/network-scripts/ifcfg-eth0 , gdje eth0— naziv potrebnog sučelja.

  2. Potvrdite autentičnost račun za izvođenje daljnjih radnji.

  3. Pronađite parametar "ZONA" i promijenite njegovu vrijednost u željenu, na primjer, javno ili kućno.

  4. Držite tipke pritisnute Ctrl+O za spremanje promjena.

  5. Nemojte mijenjati naziv datoteke, samo kliknite Unesi.

  6. Izlaz uređivač teksta kroz Ctrl+X.

Sada će zona sučelja biti onakva kakvu ste odredili do sljedećeg puta kada uredite konfiguracijsku datoteku. Da bi ažurirane postavke stupile na snagu, pokrenite sudo systemctl restart network.service i sudo systemctl restart firewalld.service.

Postavljanje zadane zone

Gore smo već demonstrirali naredbu koja nam je omogućila da saznamo zadanu zonu. Također se može promijeniti postavljanjem parametra po vašem izboru. Da biste to učinili, samo u konzolu upišite sudo firewall-cmd --set-default-zone=name, gdje Ime— naziv tražene zone.

Uspjeh naredbe bit će označen natpisom "uspjeh" na zasebnoj liniji. Nakon toga, sva trenutna sučelja bit će vezana za navedenu zonu, osim ako nije drugačije navedeno u konfiguracijskim datotekama.

Stvaranje pravila za programe i uslužne programe

Na samom početku članka govorili smo o djelovanju svake zone. Definiranje usluga, uslužnih programa i programa u takvim granama omogućit će vam primjenu pojedinačnih parametara za svaku od njih kako bi odgovarali potrebama svakog korisnika. Prvo, preporučujemo da se upoznate s potpunim popisom trenutno dostupnih usluga: firewall-cmd --get-services.

Rezultat će biti prikazan izravno u konzoli. Svaki poslužitelj je odvojen razmakom, a alat koji vas zanima lako ćete pronaći na popisu. Ako traženi servis nije dostupan, potrebno ga je dodatno instalirati. O pravilima instalacije pročitajte u službenoj dokumentaciji softvera.

Gornja naredba prikazuje samo nazive usluga. Detaljne informacije za svaki od njih dobiva se kroz pojedinačnu datoteku koja se nalazi duž staze /usr/lib/firewalld/services. Takvi dokumenti imaju XML format, put, na primjer, do SSH izgleda ovako: /usr/lib/firewalld/services/ssh.xml, a dokument ima sljedeći sadržaj:

SSH
Secure Shell (SSH) je protokol za prijavu i izvršavanje naredbi na udaljenim strojevima. Omogućuje sigurnu šifriranu komunikaciju. Ako svom stroju planirate pristupiti daljinski putem SSH-a preko vatrozidnog sučelja, omogućite ovu opciju. Morate imati instaliran openssh-server paket da bi ova opcija bila korisna.

Servisna podrška u određenoj zoni aktivira se ručno. U "Terminal" trebate izdati naredbu sudo firewall-cmd --zone=public --add-service=http , gdje --zona=javno- zona za aktivaciju, i --add-service=http— naziv usluge. Imajte na umu da će se takva promjena primijeniti samo na jednu sesiju.

Trajno dodavanje vrši se putem sudo firewall-cmd --zone=public --permanent --add-service=http , a rezultat "uspjeh" označava uspješan završetak operacije.

Pogled puni popis Možete stvoriti trajna pravila za određenu zonu prikazivanjem popisa u zasebnom retku konzole: sudo firewall-cmd --zone=public --permanent --list-services .

Rješavanje problema nedostatka pristupa usluzi

Prema zadanim postavkama pravila vatrozida navode najpopularnije i najsigurnije usluge kao dopuštene, ali neke standardne ili aplikacije trećih strana on blokira. U tom slučaju, korisnik će morati ručno promijeniti postavke kako bi riješio problem pristupa. To se može učiniti na dva različita načina.

Port prosljeđivanje

Kao što znate, sve mrežne usluge koriste određeni priključak. Lako ga detektira vatrozid i pomoću njega se može izvršiti blokiranje. Da biste izbjegli takve akcije vatrozida, trebate otvoriti traženi port naredbom sudo firewall-cmd --zone=public --add-port=0000/tcp , gdje --zona=javno- lučko područje, --add-port=0000/tcp— broj priključka i protokol. Opcija firewall-cmd --list-ports prikazat će popis otvorenih portova.

Ako trebate otvoriti portove uključene u raspon, koristite liniju sudo firewall-cmd --zone=public --add-port=0000-9999/udp , gdje --add-port=0000-9999/udp— raspon portova i njihov protokol.

Gore navedene naredbe omogućit će vam samo testiranje upotrebe takvih parametara. Ako je bilo uspješno, trebali biste dodati iste portove stalnim postavkama, a to se radi unosom sudo firewall-cmd --zone=public --permanent --add-port=0000/tcp ili sudo firewall-cmd -- zona=javno --trajno --add-port=0000-9999/udp. Popis otvorenih stalnih priključaka pregledava se ovako: sudo firewall-cmd --zone=public --permanent --list-ports .

Definicija usluge

Kao što vidite, dodavanje portova ne uzrokuje nikakve poteškoće, ali postupak postaje kompliciraniji kada se koriste aplikacije veliki broj. Postaje teško pratiti sve portove u upotrebi, pa bi bolja opcija bila definirati uslugu:


Sve što trebate učiniti je odabrati najprikladniju metodu za rješavanje problema s pristupom usluzi i slijediti navedene upute. Kao što vidite, sve se radnje izvode prilično jednostavno i ne bi trebalo nastati poteškoće.

Izrada prilagođenih zona

Već znate da je FirewallD u početku kreirao velik broj različitih zona s određenim pravilima. Međutim, postoje situacije kada Administrator sustava morate stvoriti prilagođenu zonu, kao što je "publicweb" za instalirani web poslužitelj ili "privatni DNS"— za DNS poslužitelj. Koristeći ova dva primjera, pogledat ćemo dodavanje grana:


U ovom ste članku naučili kako stvoriti prilagođene zone i dodati im usluge. Već smo govorili o njihovom postavljanju prema zadanim postavkama i dodjeljivanju sučelja gore; sve što trebate učiniti je naznačiti ispravna imena. Ne zaboravite ponovno pokrenuti vatrozid nakon što napravite trajne promjene.

Kao što vidite, vatrozid FirewallD prilično je sveobuhvatan alat koji vam omogućuje stvaranje najfleksibilnije konfiguracije vatrozida. Sve što preostaje je osigurati da se uslužni program pokrene sa sustavom i navedena pravila odmah počnu raditi. Učinite to pomoću naredbe sudo systemctl enable firewall.

FirewallD je alat za upravljanje vatrozidom koji je dostupan prema zadanim postavkama na poslužiteljima CentOS 7. To je u osnovi omotač oko IPTables i dolazi s grafičkim konfiguracijskim alatom, firewall-config i firewall-config alatom. naredbeni redak vatrozid-cmd. Uz uslugu IPtables, svaka promjena zahtijeva brisanje starih pravila i stvaranje novih pravila u datoteci ` /etc/sysconfig/iptables`, a kod vatrozida se primjenjuju samo razlike.

Zone vatrozida

FirewallD koristi usluge i zone umjesto pravila i lanaca u Iptables. Prema zadanim postavkama dostupne su sljedeće zone:

  • pad– Odbacite sve dolazne poruke mrežni paketi bez odgovora, samo odlazni mrežne veze dostupno.
  • blok– Odbijte sve dolazne mrežne pakete s porukom icmp-host-prohibited, dopuštene su samo odlazne mrežne veze.
  • javnost– prihvaćaju se samo odabrane dolazne veze, za korištenje u javnim prostorima
  • vanjski– Za vanjske mreže s maskiranjem, prihvaćaju se samo odabrane dolazne veze.
  • dmz– demilitarizirana zona DMZ, javno dostupna s ograničenim pristupom internoj mreži, prihvaćaju se samo odabrane dolazne veze.
  • raditi
  • Dom– Za računala u matičnoj zoni prihvaćaju se samo odabrane dolazne veze.
  • unutarnje– Za računala u vašoj internoj mreži prihvaćaju se samo odabrane dolazne veze.
  • vjerovao– Sve mrežne veze su prihvaćene.

Da biste dobili popis svih dostupnih zona:

# firewall-cmd --get-zones work drop interni vanjski pouzdani dom dmz javni blok

Za pregled popisa zadanih zona:

# firewall-cmd --get-default-zone public

Za promjenu zadane zone:

Usluge vatrozida

FirewallD usluge su XML konfiguracijske datoteke koje sadrže informacije o unosu usluge za firewalld. Da biste dobili popis svih dostupnih usluga:

# firewall-cmd --get-services amanda-klijent amanda-k5-klijent bacula bacula-klijent ceph ceph-mon dhcp dhcpv6 dhcpv6-klijent dns docker-registar dropbox-lansync freeipa-ldap freeipa-ldaps freeipa-replikacija ftp visoka dostupnost http https imap imaps ipp ipp-client ipsec iscsi-target kadmin kerberos kpasswd ldap ldaps libvirt libvirt-tls mdns mosh mountd ms-wbt mysql nfs ntp openvpn pmcd pmproxy pmwebapi pmwebapis pop3 pop3s postgresql privoxy proxy-dhcp ptp puls eaudio lutkar radijus rpc-bind rsyncd samba samba-klijent sane smtp smtps snmp snmptrap lignja ssh sinergija syslog syslog-tls telnet tftp tftp-klijent tinc tor-socks prijenos-klijent vdsm vnc-poslužitelj wbem-https xmpp-bosh xmpp-klijent xmpp-lokalni xmpp-poslužitelj

Konfiguracijske datoteke XML je pohranjen u imenicima /usr/lib/firewalld/services/ I /etc/firewalld/services/.

Postavljanje vatrozida s FirewallD

Kao primjer, evo kako možete konfigurirati vatrozid s FirewallD ako koristite web poslužitelj, SSH na priključku 7022 i poslužitelj e-pošte.

Prvo ćemo postaviti zadanu zonu za DMZ.

# firewall-cmd --set-default-zone=dmz # firewall-cmd --get-default-zone dmz

Da biste dodali trajna pravila usluge za HTTP i HTTPS u DMZ, pokrenite sljedeću naredbu:

# firewall-cmd --zone=dmz --add-service=http --permanent # firewall-cmd --zone=dmz --add-service=https --permanent

Otvorite port 25 (SMTP) i port 465 (SMTPS):

Firewall-cmd --zone=dmz --add-service=smtp --permanent firewall-cmd --zone=dmz --add-service=smtps --permanent

Otvoreni, IMAP, IMAPS, POP3 i POP3S priključci:

Firewall-cmd --zone=dmz --add-service=imap --permanent firewall-cmd --zone=dmz --add-service=imaps --permanent firewall-cmd --zone=dmz --add-service= pop3 --trajni firewall-cmd --zone=dmz --add-service=pop3s --trajni

Budući da je SSH port promijenjen u 7022, uklonit ćemo SSH uslugu (port 22) i otvoriti port 7022

Firewall-cmd --remove-service=ssh --trajno firewall-cmd --add-port=7022/tcp --trajno

Za implementaciju promjena moramo ponovno pokrenuti vatrozid:

Firewall-cmd --reload

Na kraju, možete navesti pravila.

Prvi korak u zaštiti poslužitelja od vanjskih prijetnji je vatrozid koji filtrira dolazni i odlazni promet. U ovom članku želim raspravljati o postavljanju iptables, posebnom slučaju vatrozida na CentOS-u, te također razgovarati o njegovoj instalaciji i onemogućavanju. Moj vodič neće biti iscrpan; razmotrit ću samo one aspekte koje smatram najvažnijima i koje sam koristim u svom radu.

Ovaj je članak dio jedne serije članaka o poslužitelju.

Uvod

Iptables je trenutno de facto standard među modernim distribucijama Linuxa. Ne mogu se uopće sjetiti što se još koristi kao vatrozid. Dakle, svaki Linux administrator mora se nositi s postavljanjem ovog vatrozida u svom radu.

Postoje različite veze s ovim vatrozidom koje se koriste za "praktičniju" konfiguraciju. Ubuntu ima ufw, u centima - vatrozid, ostale ne znam. Osobno, ne vidim nikakvu pogodnost u korištenju ovih alata. Navikao sam postavljati Linux firewall na starinski način, kako sam naučio na samom početku svog rada. Mislim da je ovo najjednostavniji i najprikladniji način, koji ću podijeliti s vama. Njegova se bit svodi na činjenicu da se skripta stvara prema pravilima vatrozida. Ova se skripta može jednostavno uređivati ​​kako bi odgovarala vašim potrebama i prenositi s poslužitelja na poslužitelj.

Onemogućavanje vatrozida

Već sam se dotaknuo pitanja onemogućavanja vatrozida u temi na . Prije svega, onemogućimo firewalld, koji je prisutan u centos 7 prema zadanim postavkama odmah nakon instalacije:

# systemctl zaustavi vatrozid

Uklonimo ga sada iz pokretanja kako se ne bi ponovno uključio nakon ponovnog pokretanja:

# systemctl onemogući vatrozid

Nakon toga, postavke vatrozida na poslužitelju postaju potpuno otvorene. Iptables pravila možete vidjeti naredbom:

Instalacija iptables

Zapravo, već imamo vatrozid na našem poslužitelju i on radi, jednostavno nema pravila, sve je otvoreno. Morat ćemo instalirati dodatne uslužne programe za upravljanje, bez kojih je nemoguće konfigurirati iptables. Na primjer, neće biti moguće ponovno pokrenuti vatrozid:

# systemctl ponovno pokrenite iptables.service Nije uspjelo izdavanje poziva metode: Jedinica iptables.service nije uspjela učitati: Nema takve datoteke ili direktorija.

Ili ga nećete moći dodati u automatsko pokretanje:

# systemctl enable iptables.service Nije uspjelo izdavanje poziva metode: Nema takve datoteke ili direktorija

Da biste izbjegli takve pogreške, instalirajte potrebni paket s uslužnim programima:

# yum -y instaliraj iptables-services

Sada možete dodati iptables za pokretanje i pokretanje:

# systemctl omogući iptables.service # systemctl pokreni iptables.service

Postavljanje vatrozida

Koristim skriptu za upravljanje pravilima vatrozida. Stvorimo ga:

# mcedit /etc/iptables.sh

Zatim ćemo ga ispuniti potrebnim pravilima. Analizirat ću sve značajne dijelove scenarija, i Dat ću ga u cijelosti u obrascu tekstualna datoteka na kraju članka. Pravila su napravljena u obliku slika kako bi se zabranilo kopiranje i lijepljenje. To može dovesti do pogrešaka u radu pravila, s kojima sam se i sam susreo tijekom pripreme članka.

Razmotrit ćemo situaciju u kojoj je poslužitelj pristupnik Internetu za lokalnu mrežu.

Prije svega, postavimo sve varijable koje ćemo koristiti u skripti. Ovo nije potrebno, ali se preporučuje jer je zgodno prenijeti postavke s poslužitelja na poslužitelj. Bit će dovoljno jednostavno ponovno dodijeliti varijable.

Prije primjene novih pravila brišemo sve lance:

Blokiramo sav promet koji ne odgovara nijednom od pravila:

Dopusti sav lokalni i lokalni promet:

Dopuštamo ping:

Ako vam ovo nije potrebno, onda nemojte dodavati dopuštajuća pravila za icmp.

Otvaramo pristup Internetu samom poslužitelju:

Ako želite otvoriti sve dolazne veze s poslužiteljem, dodajte sljedeće pravilo:

Dodajmo sada zaštitu od najčešćih mrežnih napada. Prvo, odbacimo sve pakete koji nemaju status:

Blokiranje nultih paketa:

Zaštitite se od syn-flood napada:

Ako ne postavite ograničenja pristupa iz lokalne mreže, tada dopuštamo svima pristup Internetu:

Zatim zabranjujemo pristup s interneta lokalnoj mreži:

Kako bi naša lokalna mreža mogla koristiti internet, omogućujemo nat:

Kako ne bismo izgubili pristup poslužitelju, nakon primjene pravila dopuštamo veze putem ssh-a:

I na kraju zapišemo pravila tako da se primjenjuju nakon ponovnog pokretanja:

Sastavili smo jednostavnu konfiguraciju koja blokira sve dolazne veze osim ssh i dopušta pristup s lokalne mreže na Internet. Istovremeno smo se zaštitili od nekih mrežnih napada.

Spremite skriptu, učinite je izvršnom i pokrenite:

# chmod 0740 /etc/iptables.sh # /etc/iptables.sh

Pogledajmo pravila i provjerimo jesu li sva pravila na mjestu:

# iptables -L -v -n

Imajte na umu da pravila trebate primijeniti samo ako imate pristup konzoli poslužitelja. Ako postoji pogreška u postavkama, možete izgubiti pristup. Provjerite možete li u hitnim slučajevima onemogućiti vatrozid i prilagoditi postavke.

Otvaranje portova

Sada malo proširimo našu konfiguraciju i otvorimo portove u iptables za neke usluge. Recimo da imamo pokrenut web poslužitelj i trebamo mu otvoriti pristup s interneta. Dodajte pravila za web promet:

Dodana je dozvola za dolazne veze na portovima 80 i 443 koje web poslužitelj koristi u svom radu.

Ako ste instalirali poslužitelj pošte, tada trebate dopustiti dolazne veze na njega na svim korištenim portovima:

Za ispravan rad DNS poslužitelji, trebate otvoriti UDP port 53

Port prosljeđivanje

Razmotrimo situaciju kada je potrebno proslijediti portove s vanjskog sučelja na neko računalo na lokalnoj mreži. Recimo da trebate dobiti rdp pristup računalu 10.1.3.50 s Interneta. Prosljeđujemo TCP port 3389:

Ako ne želite izložiti poznati port izvana, možete se preusmjeriti s nestandardnog porta na rdp port ciljanog računala:

Ako vanjski priključak prosljeđujete na lokalnu mrežu, svakako komentirajte pravilo koje blokira pristup s vanjske mreže na unutarnju. U mom primjeru ovo pravilo je: $IPT -A FORWARD -i $WAN -o $LAN1 -j REJECT

Ili prije ovog pravila stvorite dopuštajuće pravilo za vanjski pristup internoj usluzi, na primjer ovako:

$IPT -A NAPRIJED -i $WAN -d 10.1.3.50 -p tcp -m tcp --dport 3389 -j PRIHVAT

Omogućavanje zapisnika

Tijekom postavljanja korisno je omogućiti zapisnike za praćenje blokiranih paketa i saznati zašto nema pristupa potrebnim servisima za koje se čini da smo već otvorili. Šaljem sve blokirane pakete u zasebne lance (block_in, block_out, block_fw) koji odgovaraju smjeru prometa i označavam svaki smjer u zapisima. To čini prikladnijim obaviti debrifing. Dodajte sljedeća pravila na sam kraj skripte, prije spremanja postavki:

Sve blokirane pakete možete pratiti u datoteci /var/log/messages.

Nakon što završite s postavljanjem, komentirajte ove retke i onemogućite zapisivanje. To je svakako vrijedno učiniti, jer trupci rastu vrlo brzo. Ja osobno ne vidim nikakvog praktičnog smisla u pohranjivanju takvih informacija.

Kako onemogućiti iptables

Ako iznenada odlučite da vam vatrozid više nije potreban, možete ga onemogućiti na sljedeći način:

# systemctl zaustavi iptables.service

Ova naredba zaustavlja vatrozid. A sljedeće ga uklanja iz pokretanja:

# systemctl onemogući iptables.service

Isključivanjem vatrozida dopustili smo sve veze.

Zaključak

Kao što sam obećao, objavljujem gotovu skriptu s osnovnim skupom pravila koja smo razmotrili

Želio bih još jednom naglasiti da prilikom postavljanja iptables morate biti izuzetno oprezni. Nemojte pokretati ovaj posao ako nemate pristup konzoli poslužitelja. Još dok sam pisao ovaj članak, izgubio sam pristup poslužitelju zbog smiješne greške u pravilima. Ova pogreška nastala je zbog prepisivanja i gubitka dvostruke crtice - zamijenjena je jednom.

online tečaj “Linux Administrator” na OTUS-u. Tečaj nije za početnike, za upis je potrebno osnovno znanje o mrežama i instaliranju Linuxa na virtualni stroj. Obuka traje 5 mjeseci, nakon čega će uspješni polaznici tečaja moći proći razgovore s partnerima. Što će vam ovaj tečaj dati:

  • Poznavanje Linux arhitekture.
  • Ovladavanje suvremenim metodama i alatima za analizu i obradu podataka.
  • Mogućnost odabira konfiguracije za tražene zadatke, upravljanje procesima i osiguranje sigurnosti sustava.
  • Poznavanje osnovnih radnih alata administratora sustava.
  • Razumijevanje specifičnosti postavljanja, konfiguriranja i održavanja mreža izgrađenih na Linuxu.
  • Sposobnost brzog rješavanja novonastalih problema i osiguravanja stabilnog i nesmetanog rada sustava.
Testirajte se na prijemnom ispitu i pogledajte program za više detalja.

Ali iptables naredbe su složene i mnogi korisnici teško pamte sve opcije i kada ih koristiti. Stoga programeri distribucije stvaraju vlastite dodatke preko iptables, koji pomažu pojednostaviti upravljanje vatrozidom. CentOS ima dodatak za upravljanje iptables pod nazivom Firewalld.

Firewalld ima nekoliko važnih razlika u usporedbi s iptables. Ovdje se kontrola pristupa mreži provodi na razini zona i usluga, a ne lanaca i pravila. Također se pravila ažuriraju dinamički, bez prekidanja sesija koje se izvode. Ovaj članak će se osvrnuti na postavljanje vatrozida CentOS 7 koristeći Firewalld kao primjer.

Kao što sam već rekao, Firewalld ne radi s lancima pravila, već sa zonama. Svakom mrežnom sučelju može se dodijeliti posebna zona. Zona je skup pravila, ograničenja i dopuštenja koja se primjenjuju na to mrežno sučelje. Samo jedna zona može biti odabrana po sučelju. Programeri su stvorili nekoliko unaprijed postavljenih zona:

  • pad- blokirati sve dolazne pakete, dopustiti samo odlazne
  • blok- za razliku od prethodne opcije, pošiljatelju paketa će biti poslana poruka da blokira njegov paket;
  • javnost- dolazne veze su podržane samo za ssh i dhclient;
  • vanjski- podržava NAT za skrivanje interne mreže;
  • unutarnje- dopuštene su usluge ssh, samba, mdns i dhcp;
  • dmz- koristi se za izolirane poslužitelje koji nemaju pristup mreži. Dopuštene su samo veze putem SSH;
  • raditi- dopuštene su ssh i dhcp usluge;
  • Dom- sličan internom;
  • vjerovao- sve je dozvoljeno.

Stoga, da biste dopustili ili zabranili uslugu, samo je trebate dodati ili ukloniti iz trenutne zone ili promijeniti zonu sučelja u onu gdje je dopuštena. Može se povući analogija sa zadanom akcijskom politikom za pakete u iptables. Pouzdana zona ima pravilo ACCEPT i dopušta sve veze, zona blokiranja ima pravilo DENY, koje odbija sve veze, a sve druge zone mogu se smatrati nasljednicima blokirane zone, plus već imaju unaprijed definirana pravila za dopuštanje mrežnih veza za neke usluge.

Firewalld također ima dvije vrste konfiguracije:

  • vrijeme izvođenja- vrijedi samo do ponovnog pokretanja, sve promjene koje nisu izričito drugačije navedene odnose se na ovu konfiguraciju;
  • trajnog- trajne postavke koje će raditi čak i nakon ponovnog pokretanja.

Sada znate sve što vam treba, pa prijeđimo na uslužni program firewalld-cmd.

Firewall-cmd sintaksa i opcije

Postavkama Firewallda možete upravljati pomoću: uslužni program konzole firewall-cmd i in grafičko sučelje. CentOS se najčešće koristi na poslužiteljima, pa ćete morati raditi na terminalu. Pogledajmo sintaksu uslužnog programa:

firewall-cmd opcije

Za upravljanje zonama koristi se sljedeća sintaksa:

firewall-cmd --configuration --zone=opcija zona

Kao konfiguraciju morate navesti opciju --permanent za spremanje promjena nakon ponovnog pokretanja ili ne navesti ništa, tada će promjene biti važeće samo do ponovnog pokretanja. Za zonu koristite naziv željene zone. Pogledajmo opcije uslužnih programa:

  • --država- prikaz statusa vatrozida;
  • --ponovno učitati- ponovno učitavanje pravila iz stalne konfiguracije;
  • --potpuno ponovno učitavanje - tvrdo ponovno pokretanje pravila s prekidom svih veza;
  • --vrijeme izvođenja do trajnog- prijenos postavki konfiguracije vremena izvođenja u trajnu konfiguraciju;
  • --trajno- koristiti stalnu konfiguraciju;
  • --get-default-zone- prikaz zadane zone;
  • --set-default-zone- postaviti zadanu zonu;
  • --aktivne-zone- prikaz aktivnih zona;
  • --get-zone- prikaz svih dostupnih zona;
  • --dobiti-usluge- prikaz unaprijed definiranih usluga;
  • --popis-svih-zona- prikaz konfiguracije svih zona;
  • --nova-zona- stvoriti novu zonu;
  • --zona brisanja- brisanje zone;
  • --popis-sve- prikazati sve što je dodano iz odabrane zone;
  • --popis-usluga- prikaz svih usluga dodanih u zonu;
  • --dodaj-uslugu- dodati uslugu u zonu;
  • --ukloni-uslugu- ukloniti uslugu iz zone;
  • --list-portova- priključci za prikaz dodani zoni;
  • --dodaj-port- dodati luku u zonu;
  • --ukloni-port- ukloniti luku iz zone;
  • --upit-port- pokazati da li je luka dodana u zonu;
  • --list-protokola- prikaz protokola dodanih u zonu;
  • --dodaj-protokol- dodati protokol u zonu;
  • --ukloni-protokol- izbrisati protokol iz zone;
  • --list-source-ports- prikazati izvorne portove dodane zoni;
  • --add-source-port- dodajte izvorni port u zonu;
  • --ukloni-izvorni-port- ukloniti izvorni priključak iz zone;
  • --list-icmp-blokova- prikazati popis icmp blokiranja;
  • --add-icmp-blok- dodati icmp blokiranje;
  • --add-icmp-blok- uklanjanje icmp blokiranja;
  • --add-forward-port- dodati port za preusmjeravanje na NAT;
  • --ukloni-naprijed-port- uklonite port za preusmjeravanje na NAT;
  • --dodaj-maškare- omogućiti NAT;
  • --ukloni-maškare- ukloniti NAT.

Ovo nisu sve opcije uslužnog programa, ali za ovaj članak bit će nam dovoljne.

Postavljanje vatrozida u CentOS 7

1. Status vatrozida

Prvi korak je pogledati stanje vatrozida. Da biste to učinili, pokrenite:

sudo systemctl status firewall

Ako je usluga Firewalld onemogućena, morate je omogućiti:

sudo systemctl pokretanje vatrozida
sudo systemctl omogući vatrozid

Sada morate vidjeti radi li Firewalld pomoću naredbe firewall-cmd:

sudo firewall-cmd --stanje

Ako je program pokrenut i sve je u redu, dobit ćete poruku "radi".

2. Upravljanje zonom

Kao što već razumijete, zone su glavni alat za upravljanje mrežne veze. Za pregled zadane zone pokrenite:

sudo firewall-cmd --get-default-zone

U mom slučaju, ovo je javna zona. Trenutnu zonu možete promijeniti pomoću opcije --set-default-zone:

sudo firewall-cmd --set-default-zone=public

Da vidite koje se zone koriste za sva mrežna sučelja, pokrenite:

sudo firewall-cmd --get-active-zones

Popis će prikazati zone i sučelja kojima su dodijeljeni. Ovom naredbom možete vidjeti konfiguraciju za određenu zonu. Na primjer, za javnu zonu:

3. Postavljanje usluga

Sve predefinirane usluge možete vidjeti naredbom:

sudo firewall-cmd --get-services

Naredba će ispisati sve dostupne usluge, možete dodati bilo koju od njih u zonu kako biste je omogućili. Na primjer, dopustimo vezu na http:

sudo firewall-cmd --zone=public --add-service=http --permanent

Da biste uklonili ovu uslugu, pokrenite:

sudo firewall-cmd --zone=public --remove-service=http --permanent

U oba slučaja upotrijebili smo opciju --permanent kako bismo osigurali da konfiguracija traje nakon ponovnog pokretanja. Nakon izmjena morate ažurirati pravila:

sudo firewall-cmd --reload

Zatim, ako pogledate konfiguraciju zone, tamo će se pojaviti dodana usluga:

sudo firewall-cmd --zone=public --list-all

4. Kako otvoriti port u Firewalldu

Ako ne postoji usluga za program koji vam je potreban, možete ručno otvoriti njegov priključak. Da biste to učinili, jednostavno dodajte željeni priključak u zonu. Na primjer port 8083:

sudo firewall-cmd --zone=public --add-port=8083/tcp --permanent

Da biste uklonili ovaj priključak iz zone, pokrenite:

sudo firewall-cmd --zone=public --remove-port=8083/tcp --permanent

Slično uslugama za otvaranje porta vatrozid centos 7 trebate ponovno pokrenuti vatrozid.

sudo firewall-cmd --reload

5. Firewalld prosljeđivanje porta

Probiranje porta u Firewalldu puno je lakše konfigurirati nego u iptables. Ako trebate, na primjer, preusmjeriti promet s porta 2223 na port 22, samo dodajte preusmjeravanje u zonu:

sudo firewall-cmd --zone=public --add-forward-port=port=2223:proto=tcp:toport=22

Ovdje se preusmjeravanje izvodi samo na trenutnom stroju. Ako želite postaviti NAT mrežu i proslijediti port na drugo računalo, prvo trebate omogućiti podršku za maskiranje:

sudo firewall-cmd --zone=public --add-masquerade

Zatim možete dodati priključak:

sudo firewall-cmd --zone=public --add-forward-port=port=2223:proto=tcp:toport=22:toaddr=192.168.56.4

6. Napredna pravila

Ako vam funkcionalnost zona nije dovoljna, možete koristiti napredna pravila. Opća sintaksa za napredna pravila je:

pravilo obitelj = "obitelj" izvorna vrijednost odredišna vrijednost revizijska radnja dnevnika

Evo značenja glavnih parametara:

  • Kao protokolarne obitelji možete navesti ipv4 ili ipv6 ili ne navesti ništa, tada će se pravilo primijeniti na oba protokola;
  • izvor I odredište je pošiljatelj i primatelj paketa. Ovi parametri mogu biti IP adresa, naziv usluge, port, protokol i tako dalje;
  • log- omogućuje bilježenje prolaza paketa, na primjer u syslog. U ovoj postavci možete odrediti prefiks retka dnevnika i razinu detalja zapisivanja;
  • revizija- Ovo alternativni način bilježenje kada će poruke biti poslane auditd servisu.
  • Akcijski je radnja koju treba izvesti na uparenom paketu. Dostupno: prihvatiti, ispustiti, odbiti, označiti.

Pogledajmo nekoliko primjera. Moramo blokirati pristup poslužitelju za korisnika s IP 135.152.53.5:

sudo firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address=135.152.53.5 reject"

Ili moramo istom korisniku zabraniti pristup samo portu 22:

sudo firewall-cmd --zone=public --add-rich-rule "rule family="ipv4" source address=135.152.53.5 port port=22 protocol=tcp reject"

Sva proširena pravila možete pogledati naredbom:

sudo firewall-cmd --list-rich-rules

zaključke

U ovom smo članku pogledali kako se to radi postavljanje vatrozida u CentOS 7 i koji se zadaci mogu obavljati s njim. Program je mnogo lakši za korištenje nego iptables, ali po mom mišljenju dodatak vatrozida Ubuntu još je lakši za korištenje.

Centos 7, za razliku od CentOS-a 6, dolazi s novim vatrozidom u bazi podataka - firewalld. Može se onemogućiti i zamijeniti dobrim starim iptables, ali ako za to nema izravnih preduvjeta, onda je bolje naviknuti se na nešto novo nego se oslanjati na staro. Ovo ne znači Windows 10 bolji od Windowsa 7, a Windows XP je bolji od Windowsa 7 ;) Dobar primjer na ovu temu - selinux. Ako su ga u početku gotovo svi (uključujući i mene) gasili i čak ga malo grdili, sada ga gotovo nitko ne savjetuje, samo ako je siguran da je to potrebno. Naprotiv, mnogi su već navikli (ili se navikavaju) koristiti semanage. Nećemo odmah onemogućiti firewalld, ali probajmo kakav je okus.

Firewalld nije bitno drugačiji firewall. Ovo je još jedan dodatak netfilteru, pa ako imate iskustva s iptables, nakon malo problema možete lako početi koristiti novi alat.

Pokretanje i zaustavljanje vatrozida

Provjerimo radi li vatrozid:

# vatrozid statusa systemctl

Ovdje će biti više informacija. Da biste ukratko rekli da (radi) ili ne, možete učiniti sljedeće:

# firewall-cmd --stanje
trčanje

Ok, radi.

Zaustavljanje vatrozida:

# systemctl zaustavi vatrozid

Zabrana automatskog pokretanja:

# systemctl onemogući vatrozid

Pokrenite vatrozid:

# systemctl pokrenite vatrozid

Omogućavanje automatskog pokretanja:

# systemctl omogući vatrozid

Zone vatrozida

Firewalld uvelike koristi koncept zone. Popis svih važećih zona prema zadanim postavkama:

# firewall-cmd --get-zones
block dmz drop vanjski home interni public trusted work

Namjena zona (uvjetno, naravno):

  • drop - svi dolazni paketi se odbacuju (drop) bez odgovora. Dopuštene su samo odlazne veze.
  • blok - dolazne veze se odbijaju (odbacuju) uz odgovor icmp-host-prohibited (ili icmp6-adm-prohibited). Dopuštene su samo veze koje pokreće sustav.
  • javni - zadana zona. Iz naziva je jasno da je ova zona namijenjena radu u javnim mrežama. Ne vjerujemo ovoj mreži i dopuštamo samo određene dolazne veze.
  • external - zona za vanjsko sučelje routera (tzv. masquerading). Dopuštene su samo dolazne veze koje mi definiramo.
  • dmz - DMZ zona, dopuštene su samo određene dolazne veze.
  • rad - zona radne mreže. Još uvijek nikome ne vjerujemo, ali ne toliko kao prije :) Dozvoljene su samo određene dolazne veze.
  • home - domaća zona. Vjerujemo okruženju, ali dopuštene su samo određene dolazne veze
  • interna - unutarnja zona. Vjerujemo okruženju, ali dopuštene su samo određene dolazne veze
  • povjerenje - sve je dopušteno.

Popis svih aktivnih zona:

# firewall-cmd --get-active-zones
javnost
sučelja: enp1s0

Da, javna zona na koju je priključeno mrežno sučelje enp1so. Zatim ćemo dodati novi port u javnu zonu na kojoj će sshd visjeti.

Znajući naziv mrežnog sučelja (na primjer, enp1s0), možete saznati kojoj zoni pripada:

# firewall-cmd --get-zone-of-interface=enp1s0
javnost

Možete saznati koja sučelja pripadaju određenoj zoni:

# firewall-cmd --zone=public --list-interfaces
enp1s0

Primjer: dopuštanje ssh-a na nestandardnom portu

Dopustimo pristup poslužitelju putem ssh-a na portu 2234/tcp, a ne na 22/tcp, kao što je zadano. Usput, dotaknimo se malo selinuxa.

Prvo, da vidimo što je općenito dopušteno na našem poslužitelju:

# firewall-cmd --permanent --list-all
javno (zadano)
sučelja:
izvori:
usluge: ssh dhcpv6-klijent
maskenbal: br
naprijed-priključci:
icmp-blokovi:
bogata pravila:

Još ne koristim ipv6, pa ću odmah ukloniti odgovarajući. pravilo iz vatrozida:

# firewall-cmd --permanent --zone=public --remove-service=dhcpv6-client

Omogućimo trajno (kako se ne bi izgubila nakon ponovnog pokretanja) vezu na port 2234/tcp (zakačit ćemo sshd na njega):

# firewall-cmd --permanent --zone=public --add-port=2234/tcp

Ponovno učitajmo pravila:

# firewall-cmd --reload

Provjerimo:

# firewall-cmd --zone=public --list-ports
2234/tcp

U redu, luka je otvorena. Uređivanje sshd konfiguracije:

# nano /etc/ssh/sshd_config
...
luka 2234
...

# systemctl ponovno pokrenite sshd.service

Ali SELinux, za koji se nadamo da niste onemogućili, neće vam dopustiti da se povežete na ssh na nestandardnom portu (port 2234/tcp za sshd je nestandardan). Možete preskočiti ovaj korak i provjeriti kako radi SELinux zaštita ili možete sve konfigurirati odmah:

# yum pruža upravljanje
# yum instaliraj policycoreutils-python
# semanage port -a -t ssh_port_t -p tcp 2234

Sada je sve ok. Provjeravamo ssh vezu na novom portu. Ako je sve u redu, zatvorite pristup portu 22:

# firewall-cmd --permanent --zone=public --remove-service=ssh
# firewall-cmd --reload

Da vidimo što se dogodilo:

# firewall-cmd --list-all
javno (zadano, aktivno)
sučelja:
izvori:
usluge:
portovi: 2234/tcp
maskenbal: br
naprijed-priključci:
icmp-blokovi:
bogata pravila:

To je sve.

Razne korisne naredbe:

Omogućite način blokiranja za sve odlazne i dolazne pakete:

# firewall-cmd --panic-on

Onemogući način blokiranja za sve odlazne i dolazne pakete:

# firewall-cmd --panic-off

Saznajte je li omogućen način blokiranja za sve odlazne i dolazne pakete:

# firewall-cmd --query-panic

Ponovno učitajte pravila vatrozida bez gubitka trenutnih veza:

# firewall-cmd --reload

Ponovno učitajte pravila vatrozida i poništite trenutne veze (preporučuje se samo u slučaju problema):

# firewall-cmd --complete-reload

Dodajte mrežno sučelje u zonu:

# firewall-cmd --zone=public --add-interface=em1

Dodajte mrežno sučelje u zonu (spremit će se nakon ponovnog pokretanja vatrozida):

# firewall-cmd --zone=public --permanent --add-interface=em1

U konfiguraciji ifcfg-enp1s0 možete odrediti kojoj zoni ovo sučelje pripada. Da biste to učinili, dodajte ZONE=work u datoteku /etc/sysconfig/network-scripts/ifcfg-enp1s0. Ako parametar ZONE nije naveden, bit će dodijeljena zadana zona (parametar DefaultZone u datoteci /etc/firewalld/firewalld.conf.

Dopusti raspon priključaka:

# firewall-cmd --zone=public --add-port=5059-5061/udp

Maškare (maškare, aka nat, aka...):

Provjeri status:

# firewall-cmd --zone=external --query-masquerade

Upaliti:

# firewall-cmd --zone=external --add-masquerade

Ovdje treba napomenuti da možete omogućiti maskenbal za javnu zonu, na primjer.

Preusmjerite dolazne poruke na portu 22 na drugi host:

# firewall-cmd --zone=external --add-forward-port=port=22:proto=tcp:toaddr=192.168.1.23

Preusmjerite dolazne poruke na portu 22 na drugi host promjenom odredišnog porta (iz 22 u 192.168.1.23:2055):

# firewall-cmd --zone=external /
--add-forward-port=port=22:proto=tcp:toport=2055:toaddr=192.168.1.23

Ovdje ću završiti, jer... primjera može biti beskonačno mnogo. Dodat ću samo da osobno još nisam u potpunosti formirao svoje mišljenje o inovaciji firewall, jer... Potrebno je dugo vremena da se naviknete na sintaksu, a ako u vašem zoološkom vrtu postoje različiti OS Linux, tada na prvom mjestu mogu biti problemi s navikom. Ali ovladavanje vatrozidom proširit će vam horizonte - češće nego ne, vrijedno je truda.

Prednosti vatrozida

Glavna prednost je što ste malo apstrahirani od lanaca iptables.Da biste omogućili prosljeđivanje portova, ne morate razmišljati o PREROUTING-u ili POSTROUTING-u uz FORWARD. Dobivate "IPtables API od proizvođača", tako nešto. Ako ste omogućili nat, tada nije važno gdje se točno (pod kojim rednim brojem trenutnih pravila) pravilo nalazi. Jednostavno označite - omogućite nat na eth0. I bez gluposti;) Ovo može biti zgodno ako trebate organizirati web sučelje za upravljanje vatrozidom.

Moguće je provjeriti status (npr. je li nat uključen ili ne!). I također koristite ovo u svojim skriptama, u logici svoje aplikacije, na primjer. Ne znam kako stvoriti zahtjev za status (uključeno/isključeno) u iptables. Možete, naravno, učiniti nešto poput iptables -L -t nat | grep "...", ali morate priznati, ovo je malo drugačije od pokretanja "firewall-cmd --zone=external --query-masquerade". Postoje, primjerice, stotine VM-ova s ​​CentOS-om, u kojima nazivi wan sučelja ili nešto slično mogu biti malo drugačiji. I tako imate univerzalni cmdlet koji će dati očekivani rezultat na različitim strojevima.

Nedostaci vatrozida

Glavni nedostatak, po mom mišljenju, je to što ćete se, kada se naviknete na njega, početi navikavati na "čiste" iptables, kojih ima i u Debianu, i u Ubuntuu, i u CentOS-u, i, općenito, svugdje. Čak, usput, u Mikrotiku su sintaksa i lanci slični po tipu iptables. Ovo nije za svakoga, naravno. A profesionalcu je svejedno s čime će raditi, ako postoje specifični uvjeti, radit će s onim što ima. Ali... ja sam retrogradna osoba i očajnički se odupirem (u nedostatku očitih prednosti) novim proizvodima koje svaki veliki igrač implementira za sebe. RedHat bi imao koristi od toga da sve više i više novih stručnjaka postane vatrozidni as.

A ako ste se prebacili na firewalld, onda će vas čista iptables sintaksa samo ometati - bit će nereda ili će se firewall jednostavno pokvariti ako počnete mijenjati/dodavati pravila koja ne koriste standardnu ​​firewalld sintaksu.

Ne želim firewall! Vratite mi moje stare iptables!

Ako se ipak želite vratiti u prošlost i zamijeniti firewalld s iptables, onda to nije nimalo teško učiniti:

Ovo nije mjesto za početnike:

# systemctl onemogući vatrozid
# systemctl zaustavi vatrozid

Instalirajte dobre stare iptables:

# yum instaliraj iptables-services

Pokrenite vatrozid:

# systemctl pokreni iptables
# systemctl pokreni ip6tables

Automatsko pokretanje kada je uključeno:

# systemctl omogući iptables
# systemctl omogući ip6tables

Za spremanje iptables pravila nakon ponovnog pokretanja:

# /sbin/iptables-save > /etc/sysconfig/iptables
# /sbin/ip6tables-save > /etc/sysconfig/ip6tables

Ili na starinski način:

# servis iptables spremanje

Trenutna pravila nalaze se u datotekama:
/etc/sysconfig/iptables
/etc/sysconfig/ip6tables

Ponovno pokretanje iptables (na primjer, nakon bilo kakvih promjena):

# systemctl ponovno pokrenite iptables.service